Ministarstvo znanosti, obrazovanja i mladih (MZOM) potvrdilo je da je uključeno u obradu incidenta curenja podataka 560.700 korisnika školskih sustava te da se, prema dosadašnjim saznanjima, ne radi o kompromitaciji zaporki ni sustava za autentikaciju. Agencija za zaštitu osobnih podataka pokrenula je žurno nadzorno postupanje nad CARNET-om.
Ministarstvo navodi da će školama tijekom dana biti poslani savjeti Nacionalnog CERT-a za zaštitu u slučaju curenja podataka, dok su upute već javno dostupne na mrežnim stranicama CARNET-a i Nacionalnog CERT-a.
Ističe i da je CARNET, odmah po saznanju, aktivirao postupke upravljanja sigurnosnim incidentom i pokrenuo tehničku i forenzičku analizu, u koju su uključeni i neovisni vanjski stručnjaci.
Prema preliminarnim rezultatima, objavljeni podaci nisu preuzeti ni s jednog CARNET-ovog sustava, već nalikuju podacima iz sustava trećih strana, no analiza je i dalje u tijeku, naglasili su iz Ministarstva.
Ističu da trenutačno nema pokazatelja da su kompromitirane korisničke zaporke ili sustavi za autentikaciju, a prema dosadašnjim informacijama objavljeni podaci uključuju ime i prezime, adresu elektroničke pošte, naziv škole i korisničku ulogu.
Sumnje ili nepravilnosti odmah prijaviti na incident@cert.hr
“Korisnicima preporučujemo da budu posebno oprezni prema porukama u kojima se traže zaporke ili drugi osobni podaci, da ne otvaraju poveznice i privitke iz sumnjivih poruka te da koriste snažne i jedinstvene zaporke. Gdje god je dostupna, preporučujemo korištenje višefaktorske autentikacije. Ako korisnici posumnjaju na pokušaj prijevare ili uoče bilo kakvu nepravilnost, važno je da to odmah prijave na adresu incident@cert.hr kako bi se moglo pravodobno reagirati”, naglasili su.
Ministarstvo je također najavilo podnošenje kaznene prijave protiv nepoznatog počinitelja zbog neovlaštene objave podataka te prijavu Agenciji za zaštitu osobnih podataka od strane voditelja obrade.
Ističu i da u ovom trenutku nema potrebe za promjenom korisničkih zaporki, no ako istraga pokaže da su potrebne dodatne sigurnosne mjere, korisnici će o tome biti pravodobno obaviješteni putem službenih komunikacijskih kanala.Curenje podataka: AZOP pokrenuo žurni nadzor nad CARNET-om
Agencija za zaštitu osobnih podataka pokrenula je žurno nadzorno postupanje nad CARNET-om po službenoj dužnosti nakon navoda o neovlaštenoj objavi osobnih podataka učenika i nastavnika iz hrvatskih škola.
Agencija će, navode u AZOP-u, prema potrebi, poduzeti odgovarajuće radnje i prema drugim voditeljima/izvršiteljima obrade ako se utvrdi povezanost s predmetnim incidentom.
Agencija ističe kako do sada nije zaprimila izvješće o povredi osobnih podataka od voditelja obrade.
Naime, u slučaju povrede osobnih podataka, a u skladu s člankom 33. Opće uredbe o zaštiti podataka, voditelj obrade bez nepotrebnog odgađanja, i ako je izvedivo, najkasnije 72 sata nakon saznanja o incidentu, izvješćuje nadzorno tijelo, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca.
Nastavno na informacije da su ovim incidentom obuhvaćene i e-mail adrese učenika i nastavnika, AZOP upozorava na mogućnost povećanog broja phishing napada te drugih oblika internetskih prijevara usmjerenih prema navedenim korisnicima.
AZOP posebno poziva roditelje da obrate pozornost na poruke koje će učenici zaprimati na svoje e-mail adrese te da djecu upozore na moguće pokušaje prijevare.
– Roditeljima preporučujemo da razgovaraju s djecom o sigurnosti te da ih upozore da ne otvaraju sumnjive poveznice niti dijele korisnička imena, lozinke ili druge osobne podatke putem elektroničke pošte, stoji u priopćenju AZOP-a.
CARNET je potvrdio kako je upoznat s neovlaštenim dijeljenjem podataka te da se utvrđuje vjerodostojnost podataka i kako su dospjeli u javnost.
Angažirani su i vanjski stručnjaci kako bi se pronašao krivac za objavljene podatke koji uključuju ime i prezime korisnika, adresu elektroničke pošte, naziv škole i korisničku ulogu.
– CARNET-ove usluge nisu ugrožene, sve funkcionira normalno. Važno je reći da nisu kompromitirane lozinke korisnika niti sustavi za autentikaciju podataka, što znači da nije moguć neovlašteni pristup njihovim korisničkim računima, rekla je Ana Smoljo, pomoćnica ravnatelja CARNET-a za digitalni identitet i komunikacije. (hrt)
